Ланет - провайдер интернет и кабельного телевидения


Главная » 2015 » Ноябрь » 20 » Вирусы шифровальщики, что как и зачем, знакомый многим vault
23:24
Вирусы шифровальщики, что как и зачем, знакомый многим vault

Довелось мне познакомиться с одним очень неприятным и опасным шифровальщиком, который шифрует пользовательские данные, заменяя им стандартное расширение. После заражения вирусом шифровальщиком vault сразу же возникает главный вопрос — как восстановить поврежденные файлы и провести расшифровку информации. К сожалению, простого решения данной задачи не существует в силу особенностей механизма работы зловреда и находчивости злоумышленников. 
Все начинается с того, что у вас внезапно открывается текстовый файл в блокноте следующего содержания:
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: такой то
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере — это Ваш ключ к личной клиент-панели. Не удалите его
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО

ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP
c) Ваша стоимость восстановления не окончательная, пишите в чат.

Появление такого сообщения уже означает, что vault вирус заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители. Как провести лечение от вируса мы поговорим позже, а пока я расскажу, что же произошло у вас в системе.

Скорее всего вам пришло письмо по почте от доверенного контрагента или замаскированное под известную организацию. Это может быть просьба провести бухгалтерскую сверку за какой-то период, просьба подтвердить оплату счета по договору, предложение ознакомиться с кредитной задолженностью в сбербанке или что-то другое. Но информация будет такова, что непременно вас заинтересует и вы откроете почтовое вложение с вирусом. На это и расчет.

Итак, вы открываете вложение, которое имеет расширение .js и является ява скриптом. По идее, это уже должно вас насторожить и остановить от открытия, но если вы читаете эти строки, значит не насторожило и не остановило. Скрипт скачивает с сервера злоумышленников троян или банер ваулт, как его в данном случае можно назвать, и программу для шифрования. Складывает все это во временную директорию пользователя. И сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ — сетевые диски, флешки, внешние харды и т.д.

В качестве шифровальщика vault выступает бесплатная утилита для шифрования gpg и популярный алгоритм шифрования — RSA-1024. Так как по своей сути эта утилита много где используется, не является вирусом сама по себе, антивирусы пропускают и не блокируют ее работу. Формируется открытый и закрытый ключ для шифрования файлов. Закрытый ключ остается на сервере хакеров, открытый на компьютере пользователя.

Проходит некоторое время после начала процесса шифрования. Оно зависит от нескольких факторов — скорости доступа к файлам, производительности компьютера. Дальше появляется информационное сообщение в текстовом файле, содержание которого я привел в самом начале. В этот момент часть информации уже зашифрована.

Конкретно мне попалась модификация вируса vault, которая работала только на 32 битных системах. Причем на Windows 7 с включенным UAC выскакивает запрос на ввод пароля администратора. Без ввода пароля вирус ничего сделать не сможет. На Windows XP он начинает работу сразу после открытия файла из почты, никаких вопросов не задает.

Что же конкретно делает с файлами вирус? На первый взгляд кажется, что он просто меняет расширение со стандартного на .vault. Когда я первый раз увидел работу этого virus-шифровальщика, я так и подумал, что это детская разводка. Переименовал обратно файл и очень удивился, когда он не открылся как полагается, а вместо положенного содержания открылась каша из непонятных символов. Тут я понял, то все не так просто, начал разбираться и искать информацию.

Вирус прошелся по всем популярным типам файлов — docdocxxlsxlsxjpegpdf и другим. К стандартному имени файла прибавилось новое расширение .vault. Некоторым он шифрует и файлы с локальными базами 1С. У меня таких не было, так что сам лично я это не наблюдал. Простое переименовывание файла обратно, как вы понимаете, тут не помогает.

Так как процесс шифрования не мгновенный, может так получиться, что когда вы узнаете о том, что у вас шурует вирус на компьютере, часть файлов еще будет нормальная, а часть зараженная. Хорошо, если не тронутой останется большая часть. Но чаще всего на это рассчитывать не приходится.

Расскажу, что скрывается за сменой расширения. После шифрования, к примеру, файла file.doc рядом с ним вирус vault создает зашифрованный файл file.doc.gpg, затем зашифрованный file.doc.gpg перемещается на место исходного с новым именем file.doc, и только после этого переименовывается в file.doc.vault. Получается, что исходный файл не удаляется, а перезаписывается зашифрованным документом. 

После обнаружения вируса шифровальщика первым делом необходимо от него избавиться, проведя лечение компьютера. Лучше всего загрузиться с какого-нибудь загрузочного диска и вручную очистить систему. Virus vault в плане въедливости в систему не сложный, вычистить его легко самому. Я подробно не буду останавливаться на этом моменте, так как тут подойдут стандартные рекомендации по удалению вирусов шифровальщиков, банеров и троянов.

Само тело вируса находится во временной папке temp пользователя, который его запустил. Вирус состоит из следующих файлов. Названия могут меняться, но структура будет примерно такой же:

  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY
  • fabac41c.js
  • Sdc0.bat
  • VAULT.KEY
  • VAULT.txt

VAULT.KEY — ключ шифрования. Если вы хотите расшифровать ваши данные, этот файл обязательно надо сохранить. Его передают злоумышленникам и они на его основе выдают вам вторую пару ключа, с помощью которого будет происходить расшифровка. Если этот файл потерять, данные восстановить будет невозможно даже за деньги.

CONFIRMATION.KEY — содержит информацию о зашифрованных файлах. Его попросят преступники, чтобы посчитать сколько денег с вас взять.

Остальные файлы служебные, их можно удалять. После удаления надо почистить автозагрузку, чтобы не было ссылок на удаленные файлы и ошибок при запуске. Теперь можно запускать компьютер и оценивать масштабы трагедии.

Вот мы и подошли к самому главному моменту. Как же нам получить обратно свою информацию. Компьютер мы вылечили, что могли восстановили, прервав шифрование. Теперь надо попытаться расшифровать файлы. Конечно, проще и желанней всего было бы получить готовый дешифратор vault для расшифровки, но его не существует. Увы, но создать инструмент, чтобы дешифровать данные, зашифрованные ключом RSA-1024 технически невозможно.

Подробней - http://serveradmin.ru/vault-virus/



Просмотров: 1190 | Добавил: Владимир_Мельников | Теги: Вирусы шифровальщики, что как и зачем, знакомый многим vault | Рейтинг: 5.0/1
avatar


7zip lanet winrar ВСЕ О КОМПЬЮТЕРАХ 500 гигабайт файлов база определений recover4all recuva Отправка SMS Windows XP на новый ноутбук prowise винчестеры БЕСПЛАТНЫЙ ПОЧТОВЫЙ ЯЩИК ПЕРВЫЕ ШАГИ В КОМПЬЮТЕРЕ БЫСТРАЯ ЧИСТКА КОМПЬЮТЕРА ADSL agp HP USB Disk Storage Format Tool IP камеры для охраны FreeMemory веб камеры вопрос гостю на сайте Auslogics Disk Defrag УДАЛЕННОЕ УПРАВЛЕНИЕ КОМПЬЮТЕРОМ Funk Proxy Host быстро и просто найти драйвера КОМПЬЮТЕРНОЙ ПОМОЩИ Funk Proxy Master компьютерная помощь интернет БЕСПЛАТНЫЕ ПРОГРАММЫ Блютуз былины Веселые истории все тогт же Wi-Fi Ultra ISO Wi-Fi адаптер флешка Djvu Видеопямять ноутбука видио наблюдение GPS НОВИГАТОРЫ GPS НАВИГАТОР VDialer 3 Windows7 ВЛАСТЬ В УКРАИНЕ Nas SID Windows uTorrent борьба со спамерами в аське ВСЕ ПРОВАЙДЕРЫ КИЕВА Бесплатная программа Hotspot Інформаційно-аналітична система упр KVM-переключатель антималваре Foxit Reader RUNDLL Eye-Fi Miranda qip SSD W XP SP3 Виндовс через Скайп FlashGet PCMCIA АВТОПОИСК ПО УКРАИНЕ создание сайтов Lock My PC Power over Ethernet активный отдых и многое другое - вс IP-камера Все для потребителей Nero Power line communication IPTV norton systemworks 2006 Активация Windows ВОПРОСЫ И ОТВЕТЫ КОМПЬЮТЕРНОЙ ПОМОЩ antivirus removal Компьютер Anti-Malware адаваре Бесплатные видеоуроки по сайтострое Mozila Большой календарь мировых празднико вентафакс востановление Dell XPS M2010 WinDjView iPad в беспроводной сети бесплатная программа для работы со БЕСПЛАТНЫЙ ХОСТИНГ 1Gb.ua DAP-1150 в режиме клиента HD SATA на IDE и c IDE на SATA АТА DVD Биржа удаленной работы i-Link) IEEE 1394 (FireWire Браузер Safari внутреннего DVD привода внешний антивирусные программы бесплатный антивирус Macintosh USB кабель до 25 метров без возможности востановления DAP-1155 PC Car Беспроводный интернет вента-факс ВСЕ ДЛЯ ДИЗАЙНЕРА Веб камера в подарок Возможность продаж реальных и цифро WINDOWS XP HOME Возврат товара по гарантии Lynksys который теперь в Cisco ВЕСЬ GOOGLE НА ОДНОЙ СТРАНИЦЕ восстановить Компьютерные подарки БЕЛЫЙ ВАШ МОБИЛЬНЫЙ ИЛИ СЕРЫЙ Runtime error Анонимный браузер внешней точки доступа Архив с видео файлами восстановление стертых файлов автоматический переводчик текста английский Видео наблюдение открытое и скрытое fax polling борьбы с WinLockом востановление локального диска http://free.1gb.ua PocketDivXEncoder видео в мобилку Genius G-Pen F509 home site usd downloader Блокировка Укоз вебинар винлок Разблокировка Виндовс войти в нотбук при установленном па ATM Deluxe Аналог Teamviewer все в одном LibreOffice Apache OpenOffice AVerTV DVB-T STB7 в раскрутке сайта Бесплатный фотошоп благодарности Видеоемеил видеоконференция и видеовизитка dv6-6b57er Бесплатный корел ACDSee Windows XP на Asus K53BY Бесплатный файнридер Визуальный HTML-редактор E528-922G25Mnkk Бесплатная программа для хранения п DIR-301 1015BX установка ХР блютуз на Asus K53E встреча пользователей системы uCoz видеонаблюдения в кафе Asus RT-N13U и Huawei EC306 Acer ICONIA TAB W500 Затока ipad 3 WIX.COM бесплатные сервисы Asus X54C Абонентское обслуживание компьютеро Атмосфера работы GPS навигаторы Бесплатная программа шпион HP ProBook 4730s Toshiba NB520 Asus A686 Видеонаблюдение через интернет и ко BD-ES6000 видеонаблюдения на избирательных уч Вайфай для большого помещения Pocketbook pro 602 видеонаблюдение Вопросы не связанные Бесплатная компьютерная помощь Бесплатный вайфай Samsung Star 3 Duos S5222 Переделка сайта антиквариатом Видеонаблюдение на выборах VGA и DVI Вебкамера с микрофоном Блог в интернете Garmin nuvi 2555 внешний жесткий диск USB в сетевой Asus N12U виндовс 7 вместо 8 вирусы M1536dnf Mail.ru кабинет вебмастера SMCWBR14S-N5 бу ноутбук компьютерную помощь благодарность Dell Vostro 1540 Видеонаблюдение через вайфай Ployer momo11 Восьмидесятый порт на видеорегистра KVM переключатель Asus VivoTab Windows 8 RT 3G модем на Макинтош Временное закрытие сайта ZTE IX350 Видеонаблюдение дешевеет RasKon удаленная работа Бесплатный сервис комментариев Аoson m19 Seagate GoFlex Home 2TB виндовс с флешки баре TP-Link TL-WA5210G в режиме роутера iconBIT XDS73D AirPort Extreme Prestigio MultiPad 4 Quantum 9.7 C наступившим 2014 годом Lenovo S110 установка ХР outernet Samsung WB110 Macintosh Януковича с установленной FM-модулятор без диска в котором не работает привод Витая пара и подача питания адаптер Ubiquiti NanoStation Loco M2 Ucoz подорожал Вирус в смс съедает деньги Безопасность работы на общем компью Внешние камеры видеонаблюдения с 3G SIP телефония Chromebit Безопасность ценной информации ideacentre Stick 300 Бельгия отправила общественные теле Huawei EC306 и Asus RT-N10U B мой отзыв Apple AirPort Extreme SSD в стационарный компьютер Бесплатный вайфай в Киевском зоопар В Киевском метро заработал вайфай автоматическая установка драйверов ASUS Q550LF без кабеля вот это конфеты в канун выборов андроид+виндовс Asus G551JW что как и зачем В виндовс ХР не работает скайп Вирусы шифровальщики Беспроводная камера видеонаблюдения C наступающим Новым 2016 годом мои Все файлы открываются одной програм больше смотрят видео Всплывающие окна на сайтах большой файл в Китай вебинаров hd плееров и подобного Виртуальный тур от Google Dell Vostro 3558 а хотят ли работать В Украине безработица Assistant AS-5431 Внешний аккумулятор или Power Bank Видеорегистратор Tecsar Видеорегистратор не видит камеры Видеонаблюдения в больницах Киева а стоит ли ? Бракованная сигнализация GSM бренд Netis Бюджетный вариант роутера а стоит ли платить ? gsm сигнализация iPad uCoz :) Брендовая почта Будут ли иметь будущее украинские с В другой стране Alfacore Smart TV OCTA андроид на телевизор без сайта Блокировка социальных сетей Asus VivoBook Max X541NC Volvo XC60 как запустить видео Google раздает сайты на домене busi Будут ли жить форумы LG Stylus 3 M400DY мой взгляд